Dự án của tôi cần tôi vô hiệu hóa sftp cho một số người dùng, nhưng những người dùng đó vẫn cần kết nối qua ssh. Có ai biết làm thế nào để thực hiện điều này?
Tôi đã thấy các đề xuất để thay đổi tệp tại /etc/ssh/sshd_config, nhưng tôi không biết phải thay đổi gì.
Câu trả lời:
Nói chung làm điều này là thực hành bảo mật xấu vì lý do mà những người khác đã liệt kê. Tuy nhiên, quan điểm của bài tập của bạn, tôi nghĩ, là dạy bạn rằng bạn có thể có các phần cấu hình có điều kiện dựa trên các tiêu chí khác nhau.
Cách để làm điều này là sử dụng một Matchkhối có điều kiện *.
Match User bob
Subsystem sftp /bin/false
Xem sshd_config(5)bên dưới Matchphần để biết thêm thông tin và phù hợp trên Group.
* Có nhiều hơn một cách để làm điều đó.
Điều này không có ý nghĩa gì, nó là bảo mật thông qua sự tối nghĩa vô dụng. Bất kỳ người dùng nào có thể SSH sẽ có thể chuyển bất kỳ tệp nào họ có thể đọc qua phiên SSH. Bạn cũng sẽ có thể viết, nếu bạn có quyền làm như vậy.
Như có thể ví dụ, bạn có thể tải xuống / etc / passwd qua ssh bằng phương thức sau (không yêu cầu phiên scp / sftp): ssh foo@bar.com "cat / etc / passwd"> passwdcopy
Nếu bạn có thể nhìn thấy nó trên màn hình của mình thông qua SSH, thì bạn có thể dễ dàng sao chép nó dưới dạng tệp.
Cách duy nhất điều này sẽ có ý nghĩa là nếu bạn có một vỏ bị hạn chế tùy chỉnh thực thi chính sách bảo mật.
Tuy nhiên, nghịch đảo của điều này có ý nghĩa (vô hiệu hóa ssh shell nhưng kích hoạt scp / sftp) vì bạn không thể thực thi các lệnh tùy ý thông qua sftp / scp mà bạn có thể thông qua shell ssh.
PS: Tôi giả sử shell SSH mà bạn cấp là một shell chuẩn cho phép thực thi tùy ý. Nếu đây không phải là trường hợp thì hãy xem điều này: Làm cách nào để tắt hệ thống con sftp cho một người dùng hoặc nhóm cụ thể? và hãy xem tùy chọn cấu hình hệ thống con của sshd_config.
Match Group nosft
Subsystem sftp /bin/false
Tôi thích sử dụng một nhóm cho việc này.
Nó rất hữu ích khi kết hợp với người dùng có vỏ bị hạn chế. Đôi khi tôi cung cấp cho ssh quyền truy cập vào một máy khách để họ có thể truy cập vào một khối dữ liệu sql của cơ sở dữ liệu của họ bằng cách đặt shell của chúng thành một tập lệnh bỏ dữ liệu của chúng. Cắt chúng ra khỏi scp dường như cũng là một ý tưởng thông minh. Họ không có quyền truy cập để chạy catmột tập tin qua ssh.
Directive 'Subsystem' is not allowed within a Match block
Có thể kích hoạt SFTP trên toàn cầu và chỉ vô hiệu hóa SFTP cho một số người dùng.
Điều này không hoạt động nếu bạn muốn người dùng của mình nhận được một dấu nhắc shell thông thường. Cũng không có nghĩa gì, vì bạn có thể phá vỡ hầu hết mọi thứ nếu bạn có quyền truy cập shell. Nó sẽ chỉ hoạt động nếu bạn chỉ muốn cấp quyền truy cập vào một chương trình cụ thể.
Cá nhân tôi cần điều này bởi vì tôi muốn cấp quyền truy cập vào một số kho git qua SSH và tôi muốn vô hiệu hóa các hệ thống không cần thiết. Trong trường hợp đó SFTP là không cần thiết.
Để khớp với nhóm người dùng, bạn có thể định cấu hình SSH với Matchtừ khóa. Từ sshd_config(5)hướng dẫn:
Match
...
The arguments to Match are one or more criteria-pattern pairs or the
single token All which matches all criteria. The available criteria
are User, Group, Host, LocalAddress, LocalPort, and Address. The
match patterns may consist of single entries or comma-separated
lists and may use the wildcard and negation operators described in
the PATTERNS section of ssh_config(5).
...
Một vài ví dụ:
Match User eva phù hợp với người dùng "eva"Match User stephen,maria phù hợp với người dùng "stephen" và "maria"Match Group wheel,adams,simpsons phù hợp với các nhóm "bánh xe", "adams", "simpsons"Nếu bạn muốn biết thêm thông tin, có tải trong sshd_config(5)hướng dẫn.
Thông thường, bạn nhận được vỏ đăng nhập của người dùng khi bạn kết nối qua SSH, nhưng SSH có thể được cấu hình để buộc một lệnh nhất định. Lệnh bị buộc đối với mọi kết nối SSH, bao gồm SFTP, và do đó bạn có thể có tùy chọn để buộc lệnh bạn muốn.
Lệnh bắt buộc có thể được cấu hình với ForceCommandtừ khóa. Từ
sshd_config(5)hướng dẫn:
ForceCommand
Forces the execution of the command specified by ForceCommand,
ignoring any command supplied by the client and ~/.ssh/rc if
present. The command is invoked by using the user's login shell
with the -c option. This applies to shell, command, or subsystem
execution. It is most useful inside a Match block. The command
originally supplied by the client is available in the
SSH_ORIGINAL_COMMAND environment variable. Specifying a command of
“internal-sftp” will force the use of an in-process sftp server that
requires no support files when used with ChrootDirectory. The
default is “none”.
Vì vậy, bạn có thể buộc lệnh bị ràng buộc mà bạn muốn sử dụng ForceCommand <your command>. Ví dụ:
Match User kim
ForceCommand echo 'successful login man, congrats'
Trong trường hợp tôi muốn cấp quyền truy cập git, tôi chỉ cần người dùng có quyền truy cập git-shell. Đây là phần vô hiệu hóa SFTP cho người dùng git của tôi, cùng với một số tùy chọn bảo mật:
Match Group git
# have to do this instead of setting the login shell to `git-shell`,
# to disable SFTP
ForceCommand /usr/bin/git-shell -c "$SSH_ORIGINAL_COMMAND"
# disable stuff we don't need
AllowAgentForwarding no
AllowTcpForwarding no
AllowStreamLocalForwarding no
PermitOpen none
PermitTunnel no
PermitTTY no
X11Forwarding no
Bạn có thể nhìn vào scponly để làm ngược lại, chỉ cho phép scp / sftp nhưng không có quyền truy cập shell.
Tôi đồng ý với @Nathan ở trên, điều này không có ý nghĩa gì cả. Nếu bạn đã chết, hãy thử chỉnh sửa tệp / etc / ssh / sshd_config và xóa / nhận xét dòng sau:
Hệ thống con sftp / usr / libexec / openssh / sftp-server
không có thư mục nhà cho người dùng
usermod username -d /bin/false
Thay đổi hệ thống con sftp / usr / libexec / openssh / sftp-server trong tệp / etc / ssh / sshd_config thành Hệ thống con sftp / dev / null / usr / libexec / openssh / sftp-server
Sau đó khởi động lại ssh
service ssh restart
nó làm việc cho tôi, debian.
ownerđể truy cập ra ngoài. Điều này giả định rằng bạn sẽ được thử nghiệm bởi một đội đỏ. Nếu tất cả mọi người truy cập vào hệ thống của bạn luôn tuân thủ các quy tắc và không bao giờ có ý định xấu, thì cách tiếp cận của tôi sẽ rất nặng nề và quá phức tạp.